Nobelium, que es el grupo detrás del enorme hackeo a la cadena de suministro de SolarWinds, ha atacado ahora a la propia Microsoft de forma directa. La firma de Redmond ha asegurado en el pasado que Nobelium es un grupo originario de Rusia y ha protagonizado diversos ataques en los últimos meses.
En una información compartida este fin de semana, Microsoft dijo que encontró "malware para robar información en la máquina de uno de sus agentes de soporte". Al mismo tiempo este agente tenía acceso a "información básica de la cuenta de clientes".
Objetivos en 26 países
Con esa información, los hackers "lanzaron ataques altamente dirigidos como parte de una campaña más amplia". Microsoft dice haber respondido eliminando el acceso y poniendo seguridad a los dispositivos.
Según información aportada por Microsoft, aunque la mayoría de ataques no han tenido éxito, la actividad se dirigió a clientes específicos, principalmente empresas de TI (en un 57% de los casos), seguidas de la administración pública (20%) y en menor medida a organizaciones no gubernamentales y empresas que ofrecen servicios financieros.
El ataque ha llegado a 36 países en total. La mayoría de los objetivos estaban en Estados Unidos, pero también en Europa, siendo Reino Unido y Alemania los más destacados en el Viejo Continente. Cabe recordar que en febrero, el presidente de Microsoft, Brad Smith, afirmó que el ataque contra la cadena de suministro de SolarWinds, realizado por este mismo grupo, que se conoció en diciembre, es el mayor y "más sofisticado" de la historia.
Uso de la autenticación multifactor como recomendación
"La investigación está en curso, pero podemos confirmar que nuestros agentes de soporte están configurados con el conjunto mínimo de permisos requeridos", dice la firma. Al mismo tiempo, la de Redmond dice estar notificando a todos los clientes afectados. Microsoft recomendó el uso de la autenticación multifactor y las arquitecturas de confianza cero para ayudar a proteger los entornos.
Como resultado del incidente, Microsoft dijo que iba a "refinar" sus políticas en cuanto a validación y procesos de firma.
"Esta actividad fue en su mayoría infructuosa, y la mayoría de los objetivos no fueron comprometidos con éxito", dicen los responsables de la empresa que reconocen que se sabe de "tres entidades que han visto su seguridad comprometida" aunque no ha especificado cuáles son o dónde se encuentran.
Este no es el primer ataque de Nobelium que afecta a Microsoft
La firma que recientemente ha presentado Windows 11 dice que por el momento el ataque no se atribuye a un estado-nación como origen.
Redmond advirtió recientemente que Nobelium estaba llevando a cabo una campaña de phishing haciéndose pasar por USAID después de que consiguiera hacerse con el control de una cuenta de USAID en una plataforma de marketing por correo electrónico.
Esa campaña de phishing se dirigió a unas 3.000 cuentas vinculadas a organismos gubernamentales, grupos de reflexión, consultores y organizaciones no gubernamentales.
El ataque de Solarwinds en el mes de diciembre también afectó a Microsoft. Lo que empezó como un ciberataque a un software casi desonocido, derivó en el acceso a un código fuente de software de Microsoft, como la compañía anunció.
